CVE-2025-71359
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych ładunków pickle wykorzystujących metodę lib2to3.pgen2.grammar.Grammar.loads w funkcji reduce. Atakujący mogą stworzyć pliki pickle zawierające niebezpieczny kod, który unika wykrycia i wykonuje się podczas deserializacji pickle.load().
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu przez atakującego, który dostarczy spreparowany plik pickle do systemu. Może to prowadzić do przejęcia kontroli nad aplikacją lub serwerem, kradzieży danych lub dalszej eskalacji ataku.
Rekomendacja
Należy niezwłocznie zaktualizować picklescan do wersji 0.0.29 lub nowszej. Dodatkowo warto rozważyć ograniczenie deserializacji pickle tylko do zaufanych źródeł oraz stosowanie alternatywnych, bezpieczniejszych formatów serializacji.
Oryginalny opis (angielski, źródło NVD)
picklescan before 0.0.29 fails to detect malicious pickle payloads that utilize lib2to3.pgen2.grammar.Grammar.loads in the reduce method, allowing remote code execution. Attackers can craft pickle files embedding dangerous code that evades picklescan detection and executes during pickle.load() deserialization.

